Cyber Observable Expression (CybOX) é uma linguagem padronizada que permite um intercâmbio e compartilhamento sistemático de qualquer evento ou propriedade observável e notável, relacionado ao reino cibernético. Isso pode ser entendido como um equivalente (mais sofisticado) de ter uma Linguagem de Consulta Estruturada (SQL) para lidar com todas as Transações de Banco de Dados Relacional. Todos os produtos padrão baseados em Bancos de Dados Relacionais podem seguir um formato SQL comum, permitindo uma troca de informações em diferentes plataformas ou produtos intel. Da mesma forma, o CybOX pode ajudar na troca de informações de alta fidelidade sobre observáveis cibernéticos (incluindo medidas imponentes, eventos dinâmicos, etc.) em diferentes sistemas de segurança cibernética. O CybOX foi desenvolvido para fornecer suporte para uma ampla gama de atividades relevantes de cibersegurança, incluindo avaliação de ameaças, caracterização de malware, gerenciamento operacional de eventos, registro de eventos, resposta a incidentes, forense cibernética e conscientização situacional.

O que é um Cyber Observável?

Um Cyber Observable é qualquer evento ou qualquer propriedade mensurável de qualquer entidade cibernética ou incidente que possa ocorrer no domínio cibernético, como acesso a algum site, criação/exclusão de algum arquivo ou alteração nos valores de um registro.

O que são Objetos CybOX? Como você usa um objeto CybOX?

Os objetos CybOX referem-se a um conjunto de propriedades definidas por esquema, que caracterizam qualquer objeto dado no domínio de segurança cibernética. Isso pode incluir uma chave de registro do Windows, uma sessão HTTP ou uma consulta DNS. Objetos CybOX podem ser desenvolvidos usando os Esquemas CybOX. As propriedades CybOX são compostas por dois esquemas principais: CybOX_Core e CybOX_Common, que fornecem a estrutura e funcionalidade necessárias. O uso de CybOX_Core esquema é essencial para o desenvolvimento de um objeto, enquanto o CybOX_Common pode ser usado como e quando necessário. Devido ao design modular da arquitetura CybOX, todo o conjunto de esquemas não precisa ser importado; apenas elementos seletivos podem ser captados.

Quais são alguns exemplos comuns de Objetos CybOX?

Os objetos CybOX podem ser mensagens de e-mail simples com endereços de remetente e receptor, qualquer conexão de rede, o valor de hash SHA1 de um arquivo, uma URL, modificação de uma chave de registro ou um Indicador de Compromisso. Ele pode ser usado para a avaliação de uma ameaça, caracterização de malware, gerenciamento de log, indicador ou compartilhamento de informações ou resposta a incidentes. Existem várias amostras de CybOX disponíveis online.

A Cybox suporta o compartilhamento estruturado de observáveis?

A CybOX fornece uma plataforma para uma captura e compartilhamento estruturados de observáveis cibernéticos em todo o espectro de atividades, ferramentas e serviços de segurança. Este esforço da comunidade internacional para o domínio da cibersegurança foi desenvolvido por uma ampla gama de organizações industriais, acadêmicas e governamentais em todo o mundo. Ele pode ser usado como uma linguagem fundamental para descrever muitos elementos de sistema de nível básico e de rede, o que pode ajudar ainda mais no desenvolvimento de esquemas de nível superior, idiomas e convenções, como a eXpressão de Informações de Ameaças Estruturadas (STIX), a Enumeração e Classificação do Padrão de Ataque Comum (CAPEC) e a Enumeração e Caracterização de Atributos de Malware (MAEC). A linguagem CybOX foi agora integrada à versão 2.0 de “Structured Threat Information” (STIX 2.0).

Artigo Original